web-dev-qa-db-ja.com

分散辞書攻撃を受けているExim

私たちのウェブサーバーは現在、Eximに対してボットネット攻撃を受けています。

私たちのサーバーはCentOSであり、試行を検出してブロックするためにBFD(APFを使用してアクセスを防止するブルートフォース検出)でセットアップされています。この設定は99%の確率で機能しますが、金曜日以降、電子メールアカウントにアクセスするために分散辞書攻撃を受けています。

Eximのメインログの単一の「不正な認証」でトリガーするようにBFDを調整しましたが、BFDは30秒ごとに実行されていますが、まだ通過しています。

これまでに1,000台を超えるマシンがブラックリストに登録されており、現在の期間は4日間の禁止に設定されています。

何ができるかについて他に何か提案はありますか?

1
Neo

Fail2banは継続的に実行されるため、BFDよりも優れていますか?いずれにせよ、あなたはおそらく少なくとも弱いパスワードが危険にさらされるリスクを減らしているでしょう。

たぶん、問題のあるIPアドレスのいくつかを http://multirbl.valli.org のようなマルチRBLリストと照合して、ProjectHoneypotのようなものがそれらをキャッチするかどうかを確認してください。もちろん、RBLチェックはSASL認証の前に行う必要があります。

1
Cedric Knight